インターネット経由でプリンタの遠隔操作、新たな攻撃スタイルとなる可能性 50
モニターが爆発とか 部門より
danceman 曰く、
クラッカーによるインターネット経由での攻撃に頭を悩ます企業にとっては更に嫌な話となるだろう。コロンビア大学の研究チームは、クラッカーがインターネット経由でプリンターを遠隔操作し、個人情報を盗み出したり、ネットワークを攻撃したり、また物理的損害を与えることも可能であると警鐘を鳴らしているとのとのこと (Red Tape の記事、本家 /. 記事より) 。
研究チームを率いる Salvatore Stolfo 教授は、プリンターを遠隔操作してサーマルスイッチを切り、プリンタのフューザーを持続して加熱させ、最終的にプリント用紙を焦がして煙を起こせることをデモンストレーションしてみせ、クラッカーが火事を起こすのにプリンタを悪用する可能性も指摘したとのこと。既に先週、同研究チームは hp 社に対してファームウェアの一部に脆弱性を発見したことを明かしている。hp 社のプリンタはジョブを受け付ける度にソフトウェアのアップグレードを確認するとのことだが、アップグレードソフトウェアの検証を行わないため、まんまと罠が仕掛けられてしまう可能性を排除できない。ファームウェアの書き換えに要する時間はたったの 30 秒。しかも一度プリンタににウィルスが仕掛けられてしまうと発見することもできない。Stolfo 教授は「これはまるで、施錠するための鍵を売らずに車を売っているようなものだ。とにかく危ない」と話している。
対する hp 社は、「全機種に温度スイッチを採用しており、温度スイッチはプリンタからの出火を防ぎます。(温度スイッチは) ファームウェアの変更やここで言われているような脆弱性に負けることはありません」と話しており、調査が済むまではコメントを控えるとしている。
関連:防犯カメラも踏み台に (スコア:3, 興味深い)
セキュリティホールMEMOの紹介する読売新聞本紙記事 [ryukoku.ac.jp]によれば、コンビニの防犯カメラがサイバー攻撃の踏み台にされていたとのこと。
ネットワークにつながりっぱなしの機器はみんな危ないんでしょうね。
家庭用の無線ルータはろくなセキュリティ設定もされずにダダ漏れであることが多いようですが、無線から侵入→無線ルータに攻撃機能付きファームウェア流し込み とかも可能ですよね。
Re: (スコア:0)
TCP/IP接続のマウスがレーザー出力をうにゃうにゃされて火元に・・・
#最大500mWのUSB2.0じゃ無理だな
Re:関連:防犯カメラも踏み台に (スコア:1)
Re: (スコア:0)
防犯カメラっていうが、防犯カメラの録画機ならパソコンと大差ないと思う
バトルプログラマー (スコア:3)
を思い出した。
あれはPCの電源とかだったけど。
でもこの調子でいけばエレベーターとかもリモート監視してるんだから、やろうと思えば出来るんじゃなかろうか。
関連 (スコア:2)
昔bitに書いて無かった? (スコア:2)
火事を起こす話ではないですが、
十数年前のbit誌(だったかもあやしいが)にネットワークプリンターは
危険だという記事があった記憶が(割とはっきり)あります。
だれか覚えていませんか?
これで年がバレるな。
maruken
Re:昔bitに書いて無かった? (スコア:1)
これのことか?
http://www.dd.iij4u.or.jp/~okuyamak/Idea/NetworkPrinter.html [iij4u.or.jp]
bitのような信頼のおける情報源でなくてスマヌ。
fjの教祖様
Re:昔bitに書いて無かった? (スコア:1)
>あ、もちろん『ネットワークプリンター』を『Windows95』とか 『OS/2』とかに差し替えても同じ結果になる、ということは秘密です。
えーと 『OS/2』は消しておいてもらえますかw
モデレータは基本役立たずなの気にしてないよ
Re:昔bitに書いて無かった? (スコア:1)
最近は大丈夫なのかな。
Re:昔bitに書いて無かった? (スコア:1)
クラスAのIPアドレスが割り振られているプリンタの話ですか?1993年頃(±2年くらいの誤差あり)どっかの大学のとある研究室に納入されたのがそんな感じで関係者がやいのやいのと騒いでました。
Re:昔bitに書いて無かった? (スコア:1)
そういえば (スコア:2)
JTSS
あの会社ならやりかねん (スコア:1)
プリンタを遠隔操作してインクを使い切り、インクカートリッジの購入を促すわけか…
Re:あの会社ならやりかねん (スコア:1)
鋭敏電子の本社ビルが狙われるわけですね、って
ついこないだロシアあたりで似たような話ありませんでしたっけ。
ロシア以外のキーワードが思い出せないので探しませんが。
Re:あの会社ならやりかねん (スコア:1)
キャラテック社の手口ですね。
http://security.srad.jp/story/11/11/25/0828232/ [srad.jp]
Re:あの会社ならやりかねん (スコア:2)
運転手雇える身分になりたいもんだ
新たな別件逮捕の手法 (スコア:1)
ロリ写真を大量に印刷
↓
そこに警察が踏み込む。
↓
家主たいーほ
Re:新たな別件逮捕の手法 (スコア:2)
ロリ写真を警察のプリンターで大量に印刷
↓
.... どうなるんだろう....
fjの教祖様
Re:新たな別件逮捕の手法 (スコア:1)
Re: (スコア:0)
ロリ写真を裁判所のプリンターで大量に印刷
↓
.... どうなるんだろう....
Re:新たな別件逮捕の手法 (スコア:1)
ロリ写真を日本ユニセフ協会のプリンターで大量に印刷
↓
.... やってみたい....
Re: (スコア:0)
日銀のプリンターで…
Re: (スコア:0)
犯人はバーナンキかクルーグマンとバレバレなので、誰もやらないでしょうねw
Re:新たな別件逮捕の手法 (スコア:1)
Re:新たな別件逮捕の手法 (スコア:1)
インクジェットで黒インクだけ装着している人や、モノクロレーザープリンタをお使いの人は涙目ですね。
肌の色で差別してはいけない
Re: (スコア:0)
「こういうテロのほうが怖いだろうな」って思ってたら
先に書き込まれてたよ。
まぁ、個人宅に警察がタイミングよく入るのはないだろうから
企業のプリンタに、特定のPCから印刷したように装って
大量に印刷するとか考えてたけど。
Re:新たな別件逮捕の手法 (スコア:1)
「ワシは二次元ロリ絵が一番怖い」
Re: (スコア:0)
まんじゅう怖い
Re: (スコア:0)
つまり、あえてセキュリティを甘くしておけば安全なわけですね
リモートで相手を殺せるな(社会的な意味で) (スコア:1)
出力のうち何分の一かをポルノ画像とかにしたりとかすると、かなり嫌なテロになりそうだ。
数枚なら気がつくかもしれないけど、10数枚を何セットも印刷するようなのは全部チェックもしないだろうし。
Re:リモートで相手を殺せるな(社会的な意味で) (スコア:1)
契約書の文章の中に変な文言を差し込まれたら……
# 普通はPCの方を疑うから地味に業務妨害ができる
notice : I ignore an anonymous contribution.
うちの会社の製品で、 (スコア:1)
それ以来、社内規定で、ネットワーク製品は一律にセキュリティの検査をする事となりました。
どの様な背景でテストが行われたのか、詳細はわかりませんが、その様な事をしているところもある という事で。
デジタルTVも検証して頂きたい (スコア:0)
どこかのテロリスト共が極悪ファームウェアを配信して、イカす最新機能に対応させてくれないでしょうか。
Re:デジタルTVも検証して頂きたい (スコア:1)
まずエビをよこせでゲソ
それから考えてやろうじゃなイカ
Re: (スコア:0)
エビラ大勝利
Re: (スコア:0)
Re: (スコア:0)
海老をくれれば考えてやろうとは言ったけれど、何をしても良いととは言ってないでゲソ。
プリンター乗っ取ったって大したことできないんじゃないの? (スコア:0)
個人情報を盗み出したり、ネットワークを攻撃したり
プリンター本体を攻撃できるのは分かったが、ここが分からん。スパイウェアしかけて、送られてきた印刷データを外部送信したりとか、job結果をPCに返す際にDOSするとか、そういうこと?
書いてる内に、そういうことじゃないかと思いつつあるが。
Re:プリンター乗っ取ったって大したことできないんじゃないの? (スコア:1)
#2059974のように、「安全なはずの」機械が踏み台にできるだけでも、セキュリティ的にはだいぶ脅威だと思います。
Re:プリンター乗っ取ったって大したことできないんじゃないの? (スコア:1)
Re:プリンター乗っ取ったって大したことできないんじゃないの? (スコア:2, おもしろおかしい)
昔のhpのプリンタは頑丈そうでしたよ。
Re: (スコア:0)
オフィスの複合機だと
スキャンしたデータを内部に貯め込んでたり
逆にスキャンしたデータを保存する為に、各端末の共有フォルダと
そこにアクセス可能なユーザー情報なんかは保持してる可能性が有りますね
Re:プリンター乗っ取ったって大したことできないんじゃないの? (スコア:1)
それそれ。
機密や個人情報の入った文書などをプリントアウトしたりコピーするから、
複合機のなかを覗かれるのはちょっと困る。
真っ黒に印刷した紙を吐き続けさせて業務を妨害することも可能だろうし。
Re: (スコア:0)
延々と海外にFAXを送ったりされると電話代がすごいことにならないでしょうか。
Re: (スコア:0)
複合機の話ですが2010年にIPAが デジタル複合機の脆弱性に関する調査報告書 [ipa.go.jp]を出してます。いろんな攻撃方法やそれによって引き起こされる脅威が検討されています。
って長すぎてちゃんと読んでないですが、データが盗まれたり、データをすりかえられたりなどの脅威はいろいろあります。可用性の項目でプリンターが故障させられたり、あるいは発火等で人の生命や財産に危険が及ぶってのはないかも。
しかしながら複合機等はパソコンと同
Re:プリンター乗っ取ったって大したことできないんじゃないの? (スコア:2)
シャープの複合機はその辺を売り [sharp.co.jp]にしてますね。
確か、内蔵HDDへのセキュリティに最初に注目しだしたのはシャープで、
その後各社も追従したような。
シャープ製のコンビニ専用機でも使い終わったときに「今消してます」的な
メッセージをあえて出してるのを見たことがあります。
はじける加齢の香り!orz
攻撃されないように (スコア:0)
攻撃されない(と言っても他部署の人間にプリントされない)ように、
プリンタのデフォルトゲートウェイの設定はしないものかと思ってました。
以外にみんなインターネットと繋がりたがるのね。
どうでもいいけど、この事例はレーザープリンター (スコア:0)
あんまり知られていないと思いますけど
フューザー(あるいはヒューザー)はレーザープリンターの部品ですね。
レーザープリンターの消費電力が大きいのも
待機電力が高かったり、印刷開始待ちが長いのも
これがある程度の温度になっていないと、トナーの定着ができないから。
インクジェットなどでは、発火の可能性は無いと思うけど
プリンターの仕組みに疎い人は、おかしなところで悩むことになるなぁ…
Re:どうでもいいけど、この事例はレーザープリンター (スコア:1)
きっとそれは偽装設計なんじゃないか?